El analista forense digital y su papel en la ciberseguridad

Para saber qué es un analista forense digital primero debemos definir qué es el análisis forense. Según las fuentes consultadas, es una rama de la ciberseguridad en la que se analizan las evidencias, indicios o rasgos tecnológicos que están relacionados con delitos informáticos o delitos con teléfonos móviles.

‍¿Qué es un analista forense digital?

Teniendo esta definición en cuenta, un analista forense digital es un experto o experta que puede determinar la causa de un suceso en base a evidencias digitales. Las empresas y personas recurren a ellos para mantener sus datos seguros,  ya que pueden descifrar cómo los delincuentes obtienen acceso a los sistemas y qué hacen con el contenido que encuentran.

En base a esto, se puede decir que los analistas forenses digitales cumplen dos funciones: ser consultores de clientes intranquilos por la seguridad de sus equipos electrónicos e investigar con éxito el daño causado por un hacker en cualquier sistema operativo.

¿Cuáles son sus principales funciones?

1. Reportar los hallazgos de cualquier investigación en curso a diferentes tipos de público. Por lo general, presentan sus reportes a públicos diversos y deben exponer sus hallazgos a jueces, abogados, expertos en ciberseguridad, entre otros.

2. Recoger evidencias y datos en equipos dañados, extrayendo así información que muchas veces está cifrada. Las evidencias normalmente están guardadas en distintos dispositivos de almacenamiento, redes o aplicaciones.

3. Analizar las evidencias y establecer las causas del incidente, los motivos, vulnerabilidades y daños. El analista forense digital ofrece recomendaciones y propuestas para mitigar los daños y prevenir incidentes en el futuro.

4. Identificar el objetivo del estudio forense y qué tan complejos y diversos son los eventos de ciberseguridad que crecen con el paso de los años. 

‍¿Cuáles son las fases del análisis forense digital?

El análisis forense se realiza en cuatro etapas:

1. Identificación del incidente que conlleva buscar las evidencias. En esta primera fase se descubren cuáles son las marcas del ataque y se recopilan las evidencias. Por lo general, se pueden encontrar en la caché, en las conexiones de red o en discos duros.

2. Preservación de la evidencia generando copias y etiquetando documentos que servirán a la investigación.

3. Análisis de la evidencia para reconstruir la secuencia temporal del ataque y deducir sus causas. Es en esta etapa donde se busca identificar al autor del delito y se evalúa qué tan grande ha sido el impacto en el sistema operativo.

4. Documentación del incidente. El analista forense digital presenta los resultados de su investigación a través de informes técnicos.

‍¿Cuáles son los tipos de análisis forense digital?

1. Análisis forense digital de sistemas, que se relaciona a incidentes de seguridad dentro de estaciones de trabajo y con servidores que operan bajo sistemas operativos conocidos como Windows, MacOS o Linux. Dependiendo del nivel de gravedad del ataque se puede llegar a recuperar información sensible para la organización.

2. Análisis forense digital de redes. Tiene relación con la vulneración de los protocolos de seguridad en las redes cableadas e inalámbricas. Este análisis permite conocer cuáles son las brechas de seguridad que tiene la organización y otras vulnerabilidades en sus protocolos preventivos.

3. Análisis forense digital de sistemas embebidos. Tiene similitudes con el análisis forense digital de sistema, con la única diferencia de que está enfocado en dispositivos móviles. Este análisis se enfoca en recuperar información, mensajes, archivos multimedia que sirvan de evidencia durante la investigación.

Se puede decir que la labor del analista forense digital es bastante similar a la de un médico forense, ya que busca e identifica pistas que pueden ayudar a encontrar a los responsables de un ciberataque. Gracias a su trabajo se puede prevenir ataques similares y recuperar información valiosa.

‍